Google’ın Tehdit Analiz Grubu’ndan (TAG) siber güvenlik araştırmacıları, Internet Explorer (IE) tarayıcısında sıfır gün güvenlik açığı keşfettiler (yeni sekmede açılır) Tanınmış bir Kuzey Koreli tehdit aktörü tarafından istismar ediliyor.
İçinde Blog yazısı (yeni sekmede açılır) Bulgularını detaylandıran grup, silahlı bir Microsoft Word dosyasıyla Güney Kore’deki bireyleri hedef alan APT37 (AKA Erebus) grubunu tespit ettiğini söyledi.
Dosyanın başlığı “221031 Seoul Yongsan Itaewon kaza müdahale durumu (06:00).docx” olup, bu yılki Cadılar Bayramı kutlaması sırasında Seul, Itaewon’da meydana gelen ve en az 158 kişinin hayatını kaybettiği trajediye bir göndermedir. yaşıyor, 200 yaralı daha var. Görünüşe göre saldırganlar, olayın gördüğü kamuoyu ve medyanın ilgisinden yararlanmak istedi.
Eski kusurları kötüye kullanmak
TAG, dağıtılmakta olan belgeyi analiz ettikten sonra, bunun bir zengin metin dosyası (RTF) uzak şablonunu hedef uç noktaya indirdiğini ve ardından uzak HTML içeriğini kaptığını buldu. TAG, Microsoft’un Internet Explorer’ı kullanımdan kaldırmış ve yerine Edge’i koymuş olabileceğini, ancak Office’in HTML içeriğini IE kullanarak işlemeye devam ettiğini ve bunun tehdit aktörlerinin en az 2017’den beri kötüye kullandığı bilinen bir gerçek olduğunu söyledi.
Office artık HTML içeriğini IE ile işlediğine göre, saldırganlar IE’nin JScript motorunda keşfettikleri sıfır günü kötüye kullanabilir.
Ekip, Internet Explorer’ın JavaScript motoru olan “jscript9.dll”de, tehdit aktörlerinin kontrolleri altındaki bir web sitesini işlerken rasgele kod yürütmesine izin veren bir kusur buldu.
Microsoft, üç gün sonra CVE-2022-41128 etiketli kusur ve 8 Kasım’da bir yama yayınlanacak şekilde 31 Ekim 2022’de ihbar edildi.
Şimdiye kadarki süreç yalnızca cihazı tehlikeye atarken, TAG bunun ne anlama geldiğini keşfetmedi. APT37’nin bu kampanya için nihai yükünü bulamadığını, ancak grubun geçmişte Rokrat, Bluelight veya Dolphin gibi kötü amaçlı yazılımlar dağıttığının gözlemlendiğini ekledi.
Aracılığıyla: Sınır (yeni sekmede açılır)
